Il protocollo di prestito DeFi Moonwell ha perso 1,78 milioni di dollari a seguito di un errore di prezzo dell'oracolo in quello che viene descritto come uno dei primi grandi exploit direttamente collegati al codice Solidity generato dall'intelligenza artificiale. A quanto pare, l'errore è stato causato da codice parzialmente scritto dal modello Claude Opus 4.6 di Anthropic.
Moonwell, un mercato di prestiti decentralizzato che opera su Base e Optimism, ha dichiarato di aver riscontrato un problema critico nella configurazione dell'oracolo che interessa il suo mercato principale Coinbase Wrapped Ether (cbETH) su Base.
Ciò ha fatto sì che cbETH venisse valutato a circa 1,12 $ per token invece del suo effettivo prezzo di mercato vicino a 2.200 $, il che rappresenta una sottovalutazione di 2.000 volte che ha innescato liquidazioni immediate.
Claude Opus 4.6 ha scritto codice vulnerabile, portando a un exploit di smart contract con una perdita di 1,78 milioni di dollari
Il prezzo dell'asset cbETH è stato fissato a 1,12 dollari invece di circa 2.200 dollari. I PR del progetto mostrano che i commit sono stati scritti in collaborazione con Claude. È questo il primo hack di codice Solidity codificato in modo dinamico? pic.twitter.com/4p78ZZvd67
— pashov (@pashov) 17 febbraio 2026
Claude è coautore del codice e ha fissato il prezzo di cbETH a 1,12 $ invece di 2.200 $
La vulnerabilità è apparsa il 15 febbraio, subito dopo che Moonwell ha attivato la proposta di governance MIP-X43, che integrava i contratti wrapper Oracle Extractable Value (OEV) di Chainlink nei mercati Base e Optimism.
Pertanto, invece di calcolare il prezzo di cbETH in USD moltiplicando il tasso di cambio cbETH/ETH per il feed del prezzo ETH/USD, il codice implementato ha ottenuto solo il tasso di cambio cbETH/ETH e ha trattato tale rapporto come se fosse già denominato in dollari.
Grazie all'oracolo di Moonwell, cbETH viene scambiato a prezzi più bassi e i liquidatori potrebbero ripagare circa 1 dollaro di debiti e ottenere in cambio garanzie per un valore di migliaia di dollari.
Il risk manager di Moonwell è riuscito a ridurre il limite di prestito di cbETH a 0,01 nel giro di poche ore dalla vulnerabilità, congelando di fatto le nuove attività di prestito e contenendo ulteriori danni.
Tuttavia, le liquidazioni erano già state elaborate, quindi gli utenti si sono ritrovati con perdite catastrofiche.
Il protocollo ha inoltre stimato perdite totali pari a 1,78 milioni di dollari, che hanno interessato principalmente le posizioni cbETH, WETH e USDC. Alcuni debitori hanno quasi perso tutte le loro garanzie, mentre altri hanno sfruttato la politica di prezzo errata per prendere in prestito più denaro di quanto avrebbero dovuto, creando così ulteriore debito all'interno del protocollo.
Bithumb ha subito un errore di assegnazione del valore simile solo pochi giorni prima
L' incidente di Moonwell è molto simile a un errore commesso presso la borsa sudcoreana Bithumb solo pochi giorni prima, il 6 febbraio, dove un'assegnazione errata di unità ha creato decine di miliardi di dollari di valore fantasma.
A quanto pare, un membro dello staff di Bithumb ha inserito "BTC" invece di "KRW" durante la distribuzione dei premi per una promozione Random Box, premiando così gli utenti in Bitcoin invece che in won coreani.
Il progetto ha perso circa 620.000 Bitcoin, per un valore di oltre 40 miliardi di dollari (quasi il 3% dell'intera offerta globale di Bitcoin).
Si intensifica il dibattito sulla codifica delle vibrazioni
L'incidente di Moonwell ha riacceso il dibattito sul vibe coding . I sostenitori sostengono che l'intelligenza artificiale rende la programmazione più accessibile, mentre i critici avvertono che il suo codice potrebbe contenere vulnerabilità che le revisioni umane molto probabilmente non vedrebbero.
Pashov, revisore dei contratti intelligenti, ha sottolineato che "dietro l'intelligenza artificiale c'è una persona che controlla il lavoro finito, e forse anche un revisore. Per questo motivo, dare la colpa esclusivamente alla rete neurale è sbagliato, sebbene l'incidente 'sollevi preoccupazioni' sulla codifica delle vibrazioni".
Un'altra azienda di sicurezza blockchain, SlowMist, ha espresso le sue preoccupazioni in merito alla "vulnerabilità della formula dell'oracolo" e alla mancanza di supervisione umana che ha permesso al codice difettoso di raggiungere la produzione.
Uno studio pubblicato poche settimane prima dell'incidente di Moonwell ha identificato 69 vulnerabilità in 15 applicazioni create utilizzando popolari strumenti di codifica AI, tra cui Cursor, Claude Code, Codes ecc.
Ancora più interessante è che la ricerca condotta da Anthropic nel dicembre 2025 ha rivelato che Claude Opus 4.5 potrebbe sfruttare vulnerabilità di smart contract per un valore di 4,6 milioni di dollari da solo (in un ambiente simulato). La ricerca ha anche stabilito che i principali modelli di intelligenza artificiale possono ora "identificare in modo indipendente le vulnerabilità, creare catene di exploit funzionanti ed estrarre valore con una supervisione umana minima".
Ciononostante, Moonwell ha chiarito che "nessun altro mercato su Base o OP Mainnet è stato interessato. Il problema è limitato al mercato cbETH Core su Base".
Il protocollo ha inoltre sottolineato che questo non è stato il primo incidente con l'oracolo, ricordando un episodio di segnalazione errata avvenuto nel novembre 2025.
Vuoi che il tuo progetto venga presentato ai più grandi esperti del settore crypto? Presentalo nel nostro prossimo report di settore, dove i dati incontrano l'impatto.